Новые повороты в истории проблемного стартапа Delve
Ситуация вокруг стартапа Delve, специализирующегося на compliance, продолжает развиваться драматично.
TechCrunch подтвердил: именно Delve проводил security-сертификацию для Context AI — компании по обучению ИИ-агентов. На прошлой неделе Context AI сообщил об инциденте безопасности, который привел к утечке данных у Vercel — крупного хостинга приложений и сайтов.
В то же время Lovable, переживший свой security-инцидент, больше не пользуется услугами Delve.
Краткий обзор предыдущих скандалов
В прошлом месяце анонимный инсайдер обвинил Delve в подделке данных клиентов и использовании формальных проверок без реального аудита. Представители Delve отвергли эти претензии.
Вскоре хакеры атаковали LiteLLM — одного из клиентов Delve по сертификации — и внедрили вредоносный код в их open source-проект. После этого LiteLLM решил отказаться от Delve и пройти повторную сертификацию, как сообщил TechCrunch.
Delve также заподозрили в присвоении open source-инструмента без указания лицензии. Репутация компании пошатнулась, и Y Combinator, выпускник которого — Delve, прекратил с ней сотрудничество.
Утечка в Vercel через Context AI
На минувших выходных Vercel объявил, что хакеры проникли в их внутренние системы и получили доступ к некоторым клиентским данным. Проникновение произошло после того, как сотрудник установил приложение от Context AI и привязал его к корпоративному аккаунту Vercel в Google. Злоумышленники использовали доступ этого сотрудника в Google для атаки на системы Vercel.
После упоминания Context AI в связи с атакой на Vercel Гергely Orosz, автор рассылки The Pragmatic Engineer, написал в X, что security-сертификацию для Context AI проводил Delve.
Context AI подтвердил TechCrunch использование услуг Delve, но уже отказался от них и проходит повторную сертификацию.
“Да, Context ранее был клиентом Delve”, — сообщил представитель Context AI TechCrunch. “После публикаций о Delve в марте мы перевели программу compliance на Vanta и привлекли независимую аудиторскую фирму Insight Assurance для новых проверок. В ходе переаттестации обновляем публичные материалы и опубликуем новую подтверждение по завершении”, — добавил он.
Сертификаты не панацея от проблем
Такие security-сертификаты сами по себе не предотвращают инциденты. Они подтверждают наличие у компании политик и процедур, которые усложняют атаки и минимизируют риски утечек клиентских данных.
Пример: Lovable тоже был клиентом Delve, но ушел от него еще в конце 2025 года после обвинений инсайдера. Платформа vibe-кодинга уже завершила одну пересертификацию и работает над остальными.
Тем не менее в понедельник Lovable признал, что случайно сделал общедоступным доступ к чатам клиентов. Компания проигнорировала отчеты об уязвимости, поступившие месяцами раньше. Lovable извинилась за первоначальное отрицание утечки данных, отметив, что проблема возникла из-за ошибки конфигурации, а не хака.
Дополнительные обвинения в адрес Delve
Вокруг Delve появляются и более странные слухи. Анонимный инсайдер DeepDelver опубликовал пост, где утверждает: компания отказывает клиентам в возвратах, но отправила команду из более чем 20 человек на выездное мероприятие на Гавайи с 15 по 19 апреля.
Инсайдер предоставил TechCrunch убедительные доказательства поездки на Гавайи, хотя другие утверждения подтвердить не удалось.
После публикации Delve отказался от комментариев.